Um ator de ameaças com motivações financeiras foi vinculado a uma campanha contínua de e-mails de phishing que ocorre desde pelo menos julho de 2024, visando especificamente usuários na Polônia e na Alemanha.
Os ataques resultaram na implementação de diversos payloads, como Agent Tesla, Snake Keylogger e um backdoor anteriormente não documentado apelidado de TorNet, que é entregue por meio do PureCrypter.
O TorNet recebe este nome devido ao fato de permitir que o ator de ameaça comunique-se com a máquina da vítima por meio da rede de anonimato TOR.
"O ator está executando uma tarefa agendada do Windows nas máquinas das vítimas — inclusive em endpoints com bateria fraca — para alcançar persistência," disse o pesquisador da Cisco Talos, Chetan Raghuprasad, em uma análise publicada hoje.
O ator também desconecta a máquina da vítima da rede antes de baixar o payload e, em seguida, reconecta-a à rede, permitindo-lhes evadir a detecção por soluções de antimalware na nuvem.
O ponto de partida dos ataques é um e-mail de phishing que traz falsas confirmações de transferência de dinheiro ou recibos de pedidos, com o ator de ameaça se passando por instituições financeiras e empresas de manufatura e logística.
Anexados a essas mensagens estão arquivos com a extensão ".tgz" numa provável tentativa de evadir a detecção.
Abrir o anexo de e-mail comprimido e extrair o conteúdo do arquivo leva à execução de um loader .NET que, por sua vez, baixa e executa diretamente na memória o PureCrypter.
O malware PureCrypter em seguida lança o backdoor TorNet, mas não antes de realizar uma série de verificações anti-debugger, anti-análise, anti-VM e anti-malware na máquina vítima para passar despercebido.
"O backdoor TorNet estabelece conexão com o servidor C2 e também conecta a máquina da vítima à rede TOR," observou Raghuprasad.
Ele possui capacidades para receber e executar assemblies .NET arbitrários na memória da máquina da vítima, baixados do servidor C2, aumentando a superfície de ataque para mais intrusões.
A divulgação acontece dias depois da firma de inteligência de ameaças dizer que observou um aumento nas ameaças por e-mail que utilizam ocultação de texto salgado no segundo semestre de 2024 com a intenção de contornar a extração de nomes de marcas por parsers de e-mail e motores de detecção.
"Ocultação de texto salgado é uma técnica simples, porém eficaz, para burlar parsers de e-mails, confundir filtros de spam e evadir motores de detecção que dependem de palavras-chave," disse o pesquisador de segurança Omid Mirzaei.
A ideia é incluir alguns caracteres no código-fonte HTML de um e-mail que não são visualmente reconhecíveis.
Para combater tais ataques, é recomendado desenvolver técnicas de filtragem avançadas que possam detectar a ocultação de texto salgado e o ocultamento de conteúdo, incluindo a detecção do uso de propriedades CSS como "visibility" e "display", e adotar uma abordagem de detecção de similaridade visual (por exemplo, Pisco) para aprimorar as capacidades de detecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...